Hoe voorkom je snel een GDPR-boete?

3 min lezen
blog-hoe-voorkom-je-snel-een-GDPR-boete.jpg

blog-hoe-voorkom-je-snel-een-GDPR-boete.jpg

De General Data Protection Regulation (GDPR) voorziet in torenhoge boetes voor organisaties die onzorgvuldig met persoonsgegevens omgaan. Welke essentiële maatregelen kun je direct nemen om zo’n boete te voorkomen?

De GDPR (General Data Protection Regulation) is van kracht, in Nederland ook wel AVG (Algemene Verordening Gegevensbescherming) genoemd. Deze wet zorgt bij steeds meer organisaties voor consternatie. Hij brengt immers een groot aantal eisen en verplichtingen met zich mee en voorziet bovendien in hoge boetes voor organisaties die er niet op tijd in slagen daar aan te voldoen.

Onlangs sprak ik hierover met Ans Duthler van Duthler Associates, die bedrijven onder meer op dit gebied adviseert. Een van de eerste adviezen die zij klanten geeft, is de nieuwe wetgeving vooral niet als vervelende verplichting te zien. De GDPR is namelijk vooral een kans om de eigen datahuishouding goed op orde te krijgen. Zo plaats je de belangen en (privacy)rechten van de klant, burger of patiënt nog nadrukkelijker in het centrum van de organisatie.

Aanstellen kwartiermaker

Een belangrijke eerste stap in deze benadering is volgens Duthler het aanstellen van een Functionaris Gegevensbescherming (FG), in het Engels een Data Protection Officer (DPO) of Chief Information Security Officer (CISO). Als ‘kwartiermaker’ kan die toezicht houden op naleving van de nieuwe wet. Hij of zij zorgt voor het samenstellen en uitrollen van de benodigde road map. Kleine organisaties kunnen hier zelfstandig of in groepsverband, bijvoorbeeld via een branchevereniging, een externe adviseur voor inhuren.

Belangrijk thema binnen de GDPR is accountability. Organisaties moeten precies kunnen laten zien welke persoonsgegevens zij opslaan, en met welk doel. Dat vereist de opzet van een gedetailleerde privacyboekhouding, waarin alle door de GDPR ingegeven keuzes binnen de organisatie worden vastgelegd. Goed startpunt van deze administratie is een gedetailleerde ‘nulmeting’ van de huidige stand van zaken.

Nulmeting als uitgangspunt

Maar weinig organisaties weten namelijk precies welke persoonsgegevens ze precies verzamelen, waar ze die opslaan en met wie ze die delen. Daar komt nog bij dat de organisatie moet aantonen dat het gebruik van deze gegevens echt nodig is.  Zeer waarschijnlijk levert deze nulmeting dan ook een flink aantal concrete actiepunten op, waarmee de kwartiermaker direct aan de slag kan. 

Een nulmeting is ook een prima startpunt voor het noodzakelijke bewustwordingsproces onder de eigen medewerkers (en dus ook de directie!). Met elke nieuwe actie waarbij persoonsgegevens betrokken zijn, moeten zij zichzelf automatisch een aantal kritische vragen gaan stellen. Om dat bewustzijn binnen de organisatie te stimuleren, kan een kwartiermaker workshops of online seminars organiseren. Of bijvoorbeeld ondersteunende privacytools inzetten.

Nooit 100% GDPR-proof

Ook deze maatregelen komen uiteraard terecht in de nieuwe privacyboekhouding. Gezien de brede scope van de nieuwe GDPR-wetgeving, en de betrokkenheid van de mens als onvoorspelbare factor, is de ‘100% GDPR-proof’-organisatie een utopie. Maar de organisatie die kan laten zien dat er serieus werk is gemaakt van de wettelijke verplichtingen, kan er volgens Duthler van uitgaan dat een datalek niet direct leidt tot een hoge boete.

De angst voor een boete is dus niet de belangrijkste reden waarom je de nieuwe wet zou moeten omarmen. Privacy is een steeds belangrijker issue voor de klant, burger of patiënt. Organisaties die hen het gevoel geven dat hun gevoelige persoonlijke gegevens in goede handen zijn, hebben straks een streepje voor op de concurrentie. Zo biedt de nieuwe wet dus een mooie kans voor organisaties om zichzelf als betrouwbaar en klantgericht te onderscheiden.   

Begin daarom zo snel mogelijk met de nulmeting, bepaal je actiepunten en ga op zoek naar ondersteunende software die je helpt die zo effectief mogelijk aan te pakken. Als er onverhoopt toch iets fout gaat, kun je direct aantonen dat je degelijke maatregelen hebt getroffen om een datalek te voorkomen en om de eventuele gevolgen zoveel mogelijk te beperken.

 

Checklist GDPR Compliance

Deze blog geeft je een beeld van wat je te wachten staat. Nu is het de hoogste tijd om actie te ondernemen. In onze checklist staan precies die stappen beschreven die je moet nemen naar GDPR compliance. Het document gaat dieper in op zaken als het opstellen van een verwerkersovereenkomst, het verkrijgen van toestemming voor het verwerken van persoonsgegevens, de te nemen beveiligingsmaatregelen en de meldplicht datalekken. 

Klik hier om de checklist GDPR te downloaden

Geschreven door
Picture of Francis Mustert

Francis Mustert

Francis studeerde Communicatiewetenschap aan de Universiteit van Amsterdam. Na haar stage bij Vodafone kreeg ze de smaak te pakken en startte zij haar Master Corporate Communication. Daarna ging zij in MKB aan de slag waar zij zelfstandig alle facetten van de marketing en communicatie opzette. Bij ZIVVER vindt ze de gedreven ondernemendheid aanstekelijk. Het meeste energie krijgt zij van kansen signaleren en ten volste benutten. Waarom? Omdat stilstand achteruitgang betekent. In haar vrije tijd staat Francis graag op het volleybalveld, maar geniet ook van de derde helft. Daarnaast maakt ze graag één keer per jaar een mooie reis.

Gepubliceerd op december 21, 2017

Laatst gewijzigd op juli 16, 2019